电话

15169028800

瑞星发布勒索软件防御指南

标签: 局域网ip扫描工具 2023-08-01 

  导语: 针对势头依然强劲的勒索软件威胁,瑞星结合近段时间全球爆发的多起勒索攻击事件,发布《勒索软件防御指南》,内容包括近期勒索软件数据分析、勒索方式介绍、加密方式解读、三种常见勒索攻击方式详解、攻击手法与防范建议等。从瑞星“云安全”系统数据可以看出,仅5月份所截获勒索软件样本就有1.27万个,感染次数为7.96万次,由此可见,勒索软件的威胁依然严峻,因此广大用户可通过《勒索软件防御指南》加强自身防御策略。

  6月2日,日本富士胶片集团通过官方渠道对外发表声明,该公司服务器遭遇来自勒索软件的攻击,并关闭部分网络、断开了与外部的通信连接。

  5月31日,全球最大肉食品加工商JBS美国分部遭到了疑似勒索软件的网络攻击,受影响的系统包括美国分部和澳大利亚分部,部分工厂暂停作业。

  5月7日,美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统遭到黑客组织DarkSide的勒索攻击,该公司被迫中断了东部沿海主要城市输送油气的管道系统运营,并支付了500万美元的赎金。

  瑞星“云安全”系统在4月份截获勒索软件样本共1.56万个,感染次数为6.45万次;5月份截获勒索软件样本共1.27万个,感染次数为7.96万次。从数据来看,5月份感染次数明显呈上升势头。以勒索软件家族来看,Eris家族和GandCrab家族占比都相对较大,成为攻击者首选的勒索工具。

  自2017年5月WannaCry勒索软件在全球范围大爆发后,勒索攻击就成为了企业面临的重大网络安全风险之一,也是黑客及攻击组织最常使用的攻击手段。而近两年黑客和攻击组织对于企业的勒索方式已发生了改变,从以往单纯加密用户数据、勒索赎金解密,逐渐增加成了在攻击过程中窃取企业隐私数据和商业信息,并威胁不交付赎金则会公布企业内部私用数据的方式进行勒索。这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大,企业不仅要面临隐私数据泄露,还要面临相关法规、财务和声誉受损的影响,这大大增加了攻击者勒索的成功率。

  勒索软件流行使用的加密算法涵盖有对称算法AES、DES、3DES、salsa20、chacha20等,非对称算法RSA、ECC等,甚有个别的勒索软件已经采用上了对抗量子计算的NTRU等未来加密算法。目前主流的加密算法仍是采用RSA+AES/salsa20的方式配合加密,通过对称算法以便于快速加密文件,再使用非对称算法加密文件秘钥。早些年,勒索软件作者由于不成熟的代码逻辑以及加密方式,使得一部分勒索软件在安全厂商的努力之下能够为用户解密文件,减少企业及个人用户受到的损失。现如今由于勒索软件与安全厂商对抗,加密技术不断完善,受害者在无法取得密钥的情况下,一旦被加密几乎无法破解。

  GlobeImposter 勒索软件就主要是通过RDP远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索软件植入,加密电脑上的文件。此外,攻击者入侵一台机器后,还会使用工具抓取本机密码,用本机密码攻击局域网中的其它机器,进行人工投毒。不少机构就是因为,一台连接互联网的机器被攻击者远程控制,攻击者扫描内网中的其它机器进行攻击,造成内网多台机器中毒。

  Makop勒索软件则是利用钓鱼邮件进行攻击的勒索软件,其曾伪装成韩国公平交易委员会向企业投递钓鱼邮件,安全意识薄弱的企业员工很可能在不做提防的情况下打开钓鱼邮件附件,导致勒索软件在用户主机上成功启动,同时危及企业网络下的所有计算机,造成不可估量的损失。

  WannaCry作为顶级勒索软件,就是利用美国国家安全局黑客武器库所泄露的“永恒之蓝”漏洞,对所有开放445端口的Windows机器发起攻击的,WannaCry通过上传蠕虫在内部网络迅速传播勒索病毒,并导致电脑大量文件被加密,因而造成全球性的勒索病毒大爆发。据估计,WannaCry攻击已经对全球150个国家/地区的数十万个网络终端造成了影响,损失总额高达40亿美元。

  瑞星安全专家表示,勒索软件主要的攻击手法往往采用RDP爆破来达到入侵与传播的目的,除此之外还有部分勒索软件采用了邮件投递及漏洞攻击的方法。

  1. RDP远程协议旨在于为运行在服务器上,并且基于Windows的应用系统提供通过网络连接实现远程显示和输入的功能,由于其本身的易用性和便捷性致使大量企业与个人用户均广泛采用,因此对RDP远程登录进行防范与管理是至关重要的环节。RPD攻击演示如下:

  攻击者可通过nmap工具对IP进行3389端口扫描,若目标主机运行远程桌面服务,则以open显示该端口状态。

  通过rdesktop 远程连接到目标主机, 使用在之前爆破攻击时得到的用户与密码就能够成功登录到目标机器。接下来就可以在用户主机上直接关闭杀毒产品, 上传并执行勒索病毒。

  在实际过程中攻击者可以结合多种漏洞以及其他渗透方式,以达到攻击效果最优化的结果。

  限制可使用RDP的用户,仅将远程访问授权给那些必须用它来执行工作的人。

  建立双重验证,如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。

  设置访问锁定策略,通过配置账户锁定策略,调整账户锁定阀值与锁定持续时间等配置,可以有效抵御一定时间下高频的暴力破击。

  审视RDP的使用需求,如果业务不需要使用它,那么可以将所有RDP端口关闭,也可以仅在特定时间之间打开端口。

  重新分配RDP端口,可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击,仍需另外部署端口扫描攻击防范措施。

  2. 警惕钓鱼邮件也是防范勒索软件的重要方向之一,从2020年初疫情爆发开始,就不断出现以疫情为主题的钓鱼邮件攻击事件,其中不乏借助政府或权威组织名号发起的钓鱼邮件攻击。而早些时候,GandCrab勒索软件就曾伪造政务邮件向国家机关发起过钓鱼邮件攻击,因此企业应对这类勒索攻击提高警惕。

  3. 除了最为知名的Wannacry勒索软件曾利用“永恒之蓝”漏洞直接攻击系统以外,还有部分勒索软件也是利用漏洞来进行攻击的,如CVE-2012-0158可使勒索软件藏匿于Office所支持的RTF文件内,当用户打开了带有勒索软件的文档,就可导致勒索软件在机器上自动运行,因此针对系统漏洞防御尤为重要。

  4. 对于Web服务提供商,如果存在已知的暴露漏洞并且没有及时修复,则极有可能导致攻击者通过Web漏洞入侵到服务器系统并投放勒索软件,甚至可能通过横向传播的方式,进一步入侵到内部网络中。

  5. 一直以来,勒索软件针对数据库的攻击都是采取暴力加密方式,直接将完整的数据库文件格式直接加密,部分企业可能具有良好的定期备份习惯,但从勒索软件的发展趋势来看,攻击者已经不满足于只加密文件,未来可能会有更多勒索攻击注重于窃取用户数据,以此胁迫用户交付赎金。